2019.05.14 インタビュー
IPAインタビューコラムの第三回目は、『自動車業界でのサプライチェーンのセキュリティ対策で感じること』をお届けします。
3-1 IPA資料の中で、サプライチェーンとITサプライチェーンの用語がありますが、定義は?
ITサプライチェーンは、ソフトウェア開発/サービスの調達で、NIST風に少し絞り込んだ考え方
(小川) ITサプライチェーンは、サプライチェーンより定義を狭くしています。ITサプライチェーンは、ソフトウェア開発・ソフトウェアサービスの調達に関するものです。しかしながら、モノを含めてソフトウェアサービスとする場合もあり、その場合は、一連のシステムとしてITサプライチェーンと考えます。
自動車の例で述べると、自動車の部品の納入自体は、本来のサプライチェーンです。但し、設計図とかそれらにかかわる営業秘密など、IT/ソフトウェアが入って、サービスが実現できます。ITサプライチェーンというのは、NIST風に少し絞り込んでいますが、ただし、いわゆるIoT化により、従来のモノにIT機能が追加されることが増えています。IT機能を持ったモノのサプライチェーンは、ITサプライチェーンに含めるべきと考えています。
『ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査』に
ITサプライチェーンについて解説がある
3-2 自動車業界でのサプライチェーンのセキュリティ対策で、何か感じることはありますか?
セキュリティ対策をどのようにして裾野まで落とし込んでいくか
(小川) 自動車業界は、裾野の広い業界です。町工場的な企業から部品が上のレイヤーに上がってくるような仕組みであるため、T2~T3といった中小企業のセキュリティ対策を考えていかなければならないと思いますし、リスク見合いを考えていく必要があると思います。インテグレートするところで、様々な重要部品を集めてアッセンブリするところのセキュリティと、部品一つ一つのところで使う営業秘密情報というのは違うので、それらをリスクアセスメントすることが有効だと思います。ITセキュリティでは、リスクアセスメントを最初にしなさいと謳われていますが、実はこれが大変であることは確かです。例えば、「あなたはどんな情報を守りたいですか」「それはどこにありますか」「誰が使いますか」というようなことをアセスメントしていって、リスクは何でしょう、それに対して対策を打っていますか、ということをやっていきますが、これらのフレームワークとしてISMSの実施を中小企業に求めても無理があります。そこで、もっと簡単でシンプルな中小企業向けのガイドが必要なのかなと思います。リスクアセスメントが出来て、あなたのリスクはこれだから、ここを守ろうねみたいなことをいうのが必要であろうと思います。
会社の規模に応じたやり方を
(小川) そのようなことは業界が一番わかっていて、経産省がいうことではないと思いますけれども、中小企業の場合、逆にやりやすいところもあります。IT機器は、このパソコンだけですとなると、守り方というのはとてもシンプルです。秘密はというと、この設計図だけですということになると守り方は、あまり難しいことを考えずに済むところもあります。NIST SP 800-171をそのまま落とすのではなくて、会社の規模に応じたガイドがあった方がいいと思います。
参考になるIPAコンテンツとしては、「中小企業の情報セキュリティ対策ガイドライン第3版」
最近公表のあった最新版である
NIST SP800-171の考え方を参考に、やれるセキュリティ対策を基本から少しずつやっていくこと
(小川) 業界の方にやっていただいたらいいなと思うのは、「守るべき情報はこれだよ」というのを決めることです。それは、設計図であるかもしれないし、CADデータであるかもしれない。守るべき情報はこれと決めて、それに関してはこの守り方にしようね、という合意をとる。これは、NIST SP800-171の考え方になります。NIST SP800-171では、仕事をするにあたり、調達先に対してこの情報を出すから、 NIST SP800-171に従って守りなさいということになります。例えば、この情報は、マル秘・関係社外秘で、開示範囲はこれだけだから、ちゃんとやってねというのを、サプライチェーンで共有する。そうすると、ちゃんと暗号化して保存しなさいとか、バックアップをとりなさいとか、アクセスできるのは管理者だけですよとか、ログをちゃんととりなさいとか、...と、やるべき範囲が拡がっていくと思います。まずは、一番簡単なやり方ですが、大事な情報はインターネットから取り外したPCで管理してねとか、インターネットアクセスやメールは別のPCでやってね(大抵は一緒になっているので)とか、USBを勝手に使わないとか、中小企業でも出来ることがあるので、そういうことを基本から少しずつやっていくべきと思っています。いきなりハードルを高くしてしまうとついていけなくなるので、やる気をおこし、一歩ずつやっていくのがいいかなと思います。
中小企業には、IPAセキュリティアクションが活用しやすい
(土屋) IPAには「Security Action」という制度があります。これは中小企業自らが情報セキュリティへの取り組みを宣言するものです。宣言することで、Security Actionのロゴマークをウェブサイトに掲出したり、名刺やパンフレットに印刷したりできるようになるので、自らの取組み姿勢をアピールできます。「Security Action」で宣言した取り組みは「中小企業のセキュリティ対策ガイドライン」とも関連しています。
サプライチェーンの中に中小企業の取引先があれば「セキュリティアクション」などを
活用してもらうと有効である
≪Part3.インタビュー 参考≫
『ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査』報告書(2018年3月26日) [IPA]